Правова абетка: чи порушує сайт Миротворець закон про захист персональних даних?

87 випуск подкасту Олега Шинкаренка та Олени Сапожнікової «Правова Абетка» виходить за підтримки мережі громадських приймалень та Центру стратегічних справ Української Гельсінської спілки з прав людини. Наш сьогоднішній випуск із виконавчим директором спілки Олександром Павліченком присвячений захисту персональних даних.

Олег Шинкаренко: Спочатку розберемося, що ж таке персональні дані? Закон України «Про захист персональних даних» каже, що це «відомості або сукупність відомостей про фізичку особу, яка ідентифікована або може бути конкретно ідентифікована». При чому, до цього переліку відомостей може входити не лише ім’я та адреса, але й родинний стан, стан здоров’я, національність, освіта. Україну зобов’язали захищати персональні дані громадян. Трохи пригадаємо про історію цього процесу. 6 липня 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та додатковий протокол до неї. Цим самим Україна взяла на себе зобов’язання забезпечити дотримання прав та свобод людини, зокрема права на недоторканність приватного життя, передбачуваного статтею 8 Конвенції про захист прав людини і основоположних свобод та гарантованою статтею 32 Конституції України. Для запровадження реальних механізмів реалізації взятого на себе зобов’язання Верховна рада ухвалила закон «Про захист персональних даних». Цей закон набув чинності 1 січня 2011 року. 3 липня 2013 року Верховна рада прийняла закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних», і цей закон набув чинності 1 січня 2014 року.

Олена Сапожнікова: Цим законом з метою забезпечення незалежності уповноваженого органу з питань захисту персональних даних, повноваження щодо контролю за додержанням законодавства про захист персональних даних поклали на уповноваженого Верховної ради України з прав людини. Навіщо це було зроблено, Олександре Миколайовичу?

Олександр Павліченко: Ну, по-перше, закон «Про захист персональних даних» передбачав контролюючий орган і створення його відбувалося двічі. Ми знаємо, що від 2011 року створили один робочий орган при Міністерстві юстиції, який опікувався захистом персональних даних і який вважався…

Олена Сапожнікова: Так, а яким чином тут може допомогти саме омбудсман? До чого тут омбудсман на вашу думку?

Олег Шинкаренко: Є закон, є поліція, є суд, прокуратура, а омбудсман тут ніби якби ні при чому.

Олександр Павліченко: Дивіться, йдеться про те, що має бути незалежний орган, який здійснює нагляд за дотриманням законодавства про захист персональних даних. Чому це важливо? Тому що більшість порушень припускає держава або державні інститути і, відповідно, цей орган повинен бути в змозі реагувати на такі порушення, і бути незалежним від державних інститутів.

Олег Шинкаренко: А про які саме порушення ви кажете? Що саме порушується державою?

Олександр Павліченко: Що називається порушенням? Йдеться про обробку персональних даних. «Обробка» – це поняття широке, яке збирає…

Олена Сапожнікова: Може на прикладах, щоб було зрозуміліше.

Олександр Павліченко: Дивіться, дуже простий приклад. Коли діти йдуть до школи, то відбувається запис їхніх персональних даних, які можуть носити і вразливий характер. Ми, наприклад, здійснювали перевірку окремих шкільних закладів і з’ясували ось що. Звичайний шкільний журнал містить інформацію не тільки про успішність учня, а там є окрема сторіночка куди записуються, наприклад, персональні дані, адреса, батьки, можлива хвороба дитини або якісь особливості, наприклад, що вона є віруючою, або ще щось там, або вона хвора на якесь захворювання. І ця інформація, фактично, ви знаєте, одна дитина бере шкільний журнал, йде, несе його до класу або з класу, відкриває сторінку і дивиться і каже собі: «О! Яка цікава інформація! А я не знав там про ось цю дитину, про свого однокласника, чи з паралельного класу, що в нього це, ось це і ось це!» Тобто цієї інформації не може бути взагалі у відкритому доступі, тому що є інформація, яка називається вразливою, персональні дані вразливого характеру, які забороняється обробляти, або які потребують особливого режиму забезпечення зберігання. Обробка передбачає собою збір, накопичення, обробку, поширення і знищення всієї інформації, яка становить персональні дані.

Олена Сапожнікова: А що ж робити з цим журналом, якщо там вже все є?

Олег Шинкаренко: І головне, як може допомогти омбудсман?

Олександр Павліченко: Ні, саме перше, для того щоб…

Олена Сапожнікова: В школу приїхати.

Олександр Павліченко: Дивіться, я зроблю трошки один невеличний крок назад. Ви сказали, що закон був ухвалений в 2011 році, фактично, ось цей інституціональний або інституціолізований захист персональних даних почав здійснюватися з 2012 року. Гарно, погано, але почав, тобто до того його фактично не існувало, розумієте? Тобто ось ми визначили проблему і стали відразу намагатися її подолати і таких випадків є дуже багато, я можу вам зараз розказати про декілька інших прикладів.

Олег Шинкаренко: Чесно кажучи, прикладів не вистачає, бо не здається переконливим цей приклад про школу. Ну і що, що там хтось у щось вірить або хворий якоюсь хворобою?

Ніхто не захоче щоб ось тут в прямому ефірі розповідали про його хвороби.

Олександр Павліченко: Інший приклад – медичні заклади і та ж сама медична реформа і збір, як ви пам’ятаєте, створення було реєстру пацієнтів. Ми знаємо, по перше, що для того щоб створювався такий реєстр пацієнтів з інформацією щодо стану захворювань кожного із пацієнта, а медична інформація апріорі є вразливою. Ніхто не захоче щоб ось тут в прямому ефірі розповідали про його хвороби чи там скільки зубів в роті вилучено…

Олена Сапожнікова: Тільки за його згоди, якщо сама особа не захоче про це розказати.

Олександр Павліченко: Правильно, але ж коли така особа дає інформацію в медичний файл, тут ще дуже важливо, з якою метою здійснюється збір інформації. Коли особа дає, наприклад, інформацію щодо свого стану здоров’я, то це виключно для того, щоб цей медичний файл зберігався, і один лікар, а потім інший могли дивитися на нього у випадку звернення цієї особи, але це не для широкого поширення, погодьтеся. Знову ж таки, коли ми говоримо про створення цього реєстру пацієнтів, а це навіть пілотні проекти відбувалися в України щодо створення його, передбачало використання тих же самих автоматизованих баз обробки. Тобто якщо йшлося про внесення комп’ютеризованих даних до системи інформації з різних комп’ютерів, які повторюсь, не завжди мали сертифіковані і захищені системи входу, різного типу обладнання було. Тобто тут забезпечення конфіденційності збереження каналів інформації – це окрема тема, як це здійснюється, але в даному випадку воно не було забезпечене і здійснене. І я можу сказати про проблему, коли можуть бути ці бази даних легко зламані, вскриті, і інформація здвіти може бути вилучена і вона може бути використана проти тих осіб, які надали свою згоду виключно на обробку в медичних цілях цієї інформації. Вона може бути елементом шантажу, ще таке інше, тобто тут ми говоримо про те, що це ось такого кшталту інформація має бути зупинена для збору і несанкціонованого поширення.

Олена Сапожнікова: То я так розумію офіс омбудсмана збирає всі от такі випадки, аналізує їх і щось має з цього… якийсь зробити огляд? Що має робити офіс омбудсмана?

Олександр Павліченко: Дивіться, офіс уповноваженого, по-перше, здійснює реєстрацію баз даних, які мають бути під особливо ретельним, пильним контролем. Якщо перший етап захисту персональних даних передбачав створення інституційного органу і перша редакція закону «Про захист персональних даних» зобов’язувала всіх власників баз персональних даних, до яких належали в тому числі і всі роботодавці реєструватися, зареєструвати ці бази даних, то цих баз було понад один мільйон, тільки які за декілька місяців підготували ці заявки, звезли на реєстрацію до державної служби із захисту персональних даних, так вона називалася тоді, яка була ліквідована через півтора року. І ця служба була завалена, затоплена, можна визначити це так, не мала можливості навіть обробити і п’ятої частини тих заявок. То офіс уповноваженого пропонує зареєструвати ті бази даних, які становлять ризик щодо обробки в них персональних даних, ну це ті ж самі реєстри пацієнтів, можливо. Це бази даних, які створюють ризик при втручанні несанкціонованому до цих баз і, наприклад, це ті ж самі бази, які стосуються і використовуються, щодо кого використовують свої дії колектори, так, передаються несакнціоновано.

Олег Шинкаренко: Вибачте, а що це може дати? Скажімо, є у когось, у якогось роботодавця файл з переліком персональних даних, так звана база даних, і от він про це повідомить омбудсману і здійснить цей акт реєстрації, і що може омбудсман потім зробити з цим зареєстрованим файлом?

Олександр Павліченко: Дивіться, перше, роботодавці зі списку цих вразливих баз даних вилучені взагалі. Тобто обробка баз даних між роботодавцями, вірніше, це бази даних, які створюються роботодавцями, регулюються трудовим законодавством, і вони вилучаються саме з поля регулювання саме ось цього закону. Тому тут спрощена трішки система. Ми говоримо про інші бази даних. Це все, що стосується, наприклад, охорони здоров’я, це питання, освіти, це питання релігії. Які бази даних, які можуть становити певну проблему для тих осіб, дані яких внесені в ці бази даних, вони мають бути.

Олег Шинкаренко: Отже, якщо ми говоримо про захист персональних даних, то це стосується тільки лікарень, релігійних об’єднань, церков і ще кого?

Олександр Павліченко: Це стосується всіх сфер нашого життя, але там, де персональні дані набувають вразливого характеру.

Олег Шинкаренко: Як це можна зрозуміти? Що таке вразливий характер?

Олександр Павліченко: Це і відео-обробка, ми знаємо, що є зараз поширення дуже широке систем відеонагляду, і особи, які потрапляють під цю систему, не завжди дають згоду на обробку персональних даних. Це і поширення інформації, ми маємо ту ж саму базу даних Миротворця, ви знаєте, яка має таку досить скандальну історію.

Олег Шинкаренко: Вона відкрита.

Олександр Павліченко: Вона відкрита, але коли туди потрапляють дані про якусь особу. Дивіться, тут є певне порушення, коли ми говоримо про Миротворець, ось вам такий конкретний приклад. Особи потрапляють до тієї бази не за власною волею, а закон «Про захист персональних даних» містить категоричні вимоги щодо редагування особою інформації, яка внесена до бази даних і вилучення інформації, якщо вона заперечує проти внесення такої інформації. Тобто особа може сказати: «Я проти того, щоб інформація щодо мене містилася в цій базі даних».

Олег Шинкаренко: І вона каже.

Олександр Павліченко: І вона каже, а вона не вилучається. Ось тут є порушення і в даному випадку треба і варто було б здійснювати свій захист прав в судовому порядку.

Олена Сапожнікова: А хто буде взагалі слідкувати за тим: є порушення, нема порушення? Дивіться, от закон «Про захист персональних даних» нам говорить, що забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях, професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних. Величезний перелік, так і далі ідуть винятки, це можливо тільки, якщо згода, вирок суд виносить, як уникнути згадки…

Олександр Павліченко: За рішенням суду.

Олена Сапожнікова: За кримінальну відповідальність, за рішенням суду. І це рішення суду, потім права знеособлюється в реєстрі судових рішень, особа стає…

Олександр Павліченко: Але можна встановити.

Олена Сапожнікова: Але можна встановити, як бути з цим?

У минулому році засудили військовослужбовця за зґвалтування неповнолітньої особи і можна було вирахувати, хто була ця особа, хоч все було деперсоніфіковано.

Олександр Павліченко: Я вам можу сказати, що тут ми входимо тільки в нову еру застосування цього права. Я можу привести такий конкретний приклад. У минулому році був випадок, коли був засуджений військовослужбовець за зґвалтування неповнолітньої особи і, фактично, можна було вирахувати, хто була ця особа, хоч все було деперсоніфіковано, але ми рахуємо, що випадок був вказаний, де відбувалася ця подія, я навмисне зайшов подивився…

Олена Сапожнікова: Там місце зазначається…

Олександр Павліченко: Це село, в якому проживало приблизно 180 чоловік і з’ясувати, хто був цією особою, і подивитися наскільки конкретно…

Олена Сапожнікова: Там дати залишаються, там все можна співставити.

Олександр Павліченко: Там не дати, там було описано всю ситуацію, як це відбувалося, то, повірте мені, це більш ніж вразливого характеру інформація, оприлюднена у відкритому судовому рішенні. Я написав про це таку коротеньку замітку, але це просто я вважаю неправомірні дії судді, який поширив таку інформацію. Це мала би бути закрита і з закритим вмістом опису всіх ось цих подій.

Олена Сапожнікова: Так роблять часто, Олександре Миколайовичу, купа рішень в реєстрі зазначаються, це суддя має приймати рішення.

Олександр Павліченко: Звичайно, це просто відсутність практики, відсутність якогось розуміння того, що є порушення права, а в давному випадку відбулося реальне порушення права цієї особи. Ну, я собі не уявляю, як вона повинна була йти в школу, ця дівчина, і всі уже прочитали, всі уже бачили, що відбувалося з нею.

Олег Шинкаренко: Тут є ще така деталь, що цей закон «Про захист персональних даних» буде захищати ваші персональні дані тільки тоді, коли ви поскаржитеся на те, що цей закон був порушений стосовно вас. А якщо ти не поскаржишся, то не буде ніяких дій з боку правоохоронних органів і омбудсмана?

Олександр Павліченко: Не зовсім так, ми знаємо, що зараз відбувається формальне взяття згоди на обробку персональних даних. Ви можете приїхати, наприклад, ну по-перше, коли ви вчиняєте якісь дії, укладаєте угоду з банком, з якоюсь іншою установою, з вас беруть таку згоду на обробку ваших персональних даних. Навіть коли ви реєструєтесь на якийсь захід, можливо на якусь конференцію, кажуть, що ваші персональні дані будуть оформлені, коли ви подаєтеся на візу, ще якісь там речі. Була велика проблема з тим, що було згодою, зараз змінено це поняття згоди. Раніше вона була виключно в письмовому вигляді, це була усвідомлена, повторюю, згода, яка передбачає особою, яка надає цю згоду чітке розуміння, з якою метою збираються персональні дані, де вони будуть оброблюватися, яким чином, хто матиме доступ до цих персональних даних, і коли вони будуть знищені. Як правило, нічого цього не заявляється в цій згоді, тому ця згода в більшості випадків, 90% випадків, вона є нікчемною. Тому що коли ви даєте згоду при поселенні в готель, що ви погоджуєтеся на обробку ваших персональних даних, а вам не вказують, коли вони будуть знищені, впродовж там 20 днів чи місяця після вашого від’їзду. Хто буде мати доступ до них? Де вони будуть зберігатися? Цього немає, це згода не зовсім усвідомлена, вона не відповідає критеріям цієї згоди, відповідно вона нікчемна.

Олена Сапожнікова: Тобто відкритий шлях до оскарження і можна потім в судах доводити.

Були випадки, коли батьки відмовлялися від реєстрації дітей в електронній комп’ютерній системі на ЗНО.

Олександр Павліченко: Я повторюю, це перші кроки, йдемо першими кроками для того, щоб зрозуміти, що є таке право, воно захищається, воно створює інколи більше проблем. Наприклад, проблеми, коли ця згода потрібна була для того, щоб проходити ЗНО, а у нас є представники певних релігій, вони виступають проти того, щоб мати ідентифікаційний код, щоб ніде не було реєстрації в електронних засобах, в електронних базах. І от були випадки в 2013 році, коли батьки дітей відмовлялися від реєстрації в електронній комп’ютерній системі реєструвати дітей на ЗНО, відповідно діти втрачали можливість скласти ці ЗНО і вступити до вищих навчальних закладів.

Олег Шинкаренко: Про що я казав, коли питав про те, як діє цей закон. Виявляється, що цей сайт Миротворець, він не порушує ніяких законів України і також не порушує закону щодо захисту персональних даних, оскільки жоден з тих, чиї персональні дані там знаходяться, не поскаржився. Оскільки він не поскаржився, то закон не працює щодо цього сайту, і він далі працює, і він далі продовжує порушувати цей закон до тих пір, поки хтось нарешті не поскаржиться.

Олександр Павліченко: Справи знаходяться на розгляді в суді, якщо ви знаєте, щодо сайту Миротворець, але вони не розглядаються, тобто така тактика вибрана.

Олена Сапожнікова: А чому не розглядаються?

Олександр Павліченко: Це не до мене питання.

Олег Шинкаренко: Це політичне рішення?

Олександр Павліченко: Це спитайте у сторін, які подавали і у судових органів, які…

Олена Сапожнікова: Цікаво, що ось у цих справ може бути перспектива в Європейському суді з прав людини, там може прозвучати стаття 8 Європейської Конвенції про право на приватність, як ви думаєте?

Олександр Павліченко: Звичайно, там право на приватність порушено, особливо щодо тих осіб, які потрапили туди не правомірно, хоч питання правомірності в даному випадку є взагалі досить умовним. Оскільки…

Олег Шинкаренко: Не логічно, може.

Олександр Павліченко: …такий сайт мав би право на існування, якби він був створений офіційними органами і, дуже важливо, був би судовий дозвіл на функціонування і правила регулювання цього сайту були затверджені. Тут можна було б про це говорити, поки що він фактично діє поза межами правового поля.

Олена Сапожнікова: Олександре Миколайовичу, а як бути із тим, що в законі передбачено, що не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з функціями виконання держави, органів місцевого самоврядування, посадових або службових повноважень? Що саме тут?

Олександр Павліченко: Цікава, цікава клаузула. Дивіться…

Олег Шинкаренко: Не дуже зрозуміло, взагалі, про що йдеться.

Олександр Павліченко: Я вам поясню, чому ця норма, вона була умисно прописана. Цей закон вступив в силу в 2012 році і, фактично, майже паралельно в той же самий час вступив в силу закон «Про доступ до публічної інформації» і відразу почали бомбардувати всі органи державної влади і потім місцевого самоврядування питаннями: «А скільки ж хто отримує? Або яка зарплата? Або кому виділені ось ці кошти? Або скільки це коштувало?». І була купа відмов на підставі того, що ця інформація містить персональні дані, а відповідно особа, про яку ви запитуєте дозвіл на оприлюднення цієї інформації не дала, значить вибачте, ми вам не дамо цю інформацію.

Олег Шинкаренко: Таким чином корупціонери можуть уникати відповідальності.

Олександр Павліченко: Абсолютно точно і, по-перше, було внесено зміни до закону «Про доступ до публічної інформації», спеціально було узгоджено з нормами закону «Про захист персональних даних», що все, що стосується розпорядження державними коштами, не може відпадати під дію закону або посиланням на захист персональних даних щодо осіб, які отримали ті кошти. Не важливо чи займають вони державні посади, чи вони мали доступ до розпорядження або отримання тих коштів, які належать до державних коштів, до бюджетних, до місцевих бюджетів. Тому це, фактично, антикорупційна норма, яка передбачає відсутність захисту для осіб, які розпоряджаються або отримують державні кошти, що інформація про отримання ними різних виплат має бути оприлюднена без їхньої згоди.

Олег Шинкаренко: Таким чином, межа щодо заборони розповсюдження персональних даних пролягає якраз по державній власності. Якщо ти працюєш у державному підприємстві, якщо отримуєш зарплату з державного бюджету, то у тебе, фактично, не може бути персональних даних.

Олена Сапожнікова: Там ще органи місцевого самоврядування зазначені.

Олександр Павліченко: Так, і органи місцевого самоврядування. Це йдеться не про персональне життя. Йдеться про те, що коли особа отримує від держави якусь виплату, премію. До речі, ту не всі абсолютно виплати можуть бути, наприклад, оплата на поховання чи сироті якоїсь суми не може бути, хоч це і державні кошти органів місцевого самоврядування.

Олег Шинкаренко: Захист персональних даних – це для багатьох ще незрозуміла потреба. Ще не багато поки людей здатні собі уявити, що можна зробити з їхніми персональними даними у сучасному цифровому світі. Саме тому ця небезпека недооцінена, люди не бачать тут загрози, а вона насправді існує, тому на неї потрібно зважати.